GoBD E-Mail Archiv
E-Mail- und Dokumentenarchivierung nach GoBD und DSGVO
Wer im Unternehmen Dokumente oder E-Mails rechtssicher archivieren möchte, muss sich dabei an die GoBD und die DSGVO halten. Die GoBD sind die „Grundsätze zur ordnungsgemäßen Buchführung und zum Datenzugriff“, die DSGVO ist die europäische Datenschutzgrundverordnung.
Zu den GoBD
Die GoBD schreibt den Unternehmen vor, Dokumente und auch die digitale Kommunikation vorschriftsgemäß zu archivieren. Das verlangt die Einhaltung folgender Kriterien:
- datenschutzkonforme Aufbewahrung von Dokumenten auf Papier und physischen Datenträgern
- revisionssichere Archivierung von in der Cloud abgelegten digitalen Dokumenten
- Nachvollziehbarkeit der Archivierung
- Vollständigkeit des Archivs
- zeitnahe Archivierung
- Dokumentation des Archivierungsverfahrens
Für wen gelten die GoBD?
Alle steuerpflichtigen Unternehmen mit Gewinnerzielungsabsicht unterliegen dem Geltungsbereich der GoBD. Die Unternehmensgröße spielt hierbei keine Rolle, auch Freelancer sind betroffen. Auch die Art der Steuerabrechnung – Einnahmen-Überschuss-Rechnung oder Bilanz – ist für die GoBD-Pflichten unerheblich.
Anforderungen der GoBD
Die GoBD setzen auch den gesetzlichen Rahmen bezüglich der Verwaltung elektronischer Dokumente. Unternehmen sind damit zur vollständigen Verfahrensdokumentation und zur GoBD-konformen Arbeitsweise verpflichtet. Auch die verwendete Software muss den GoBD-Grundsätzen entsprechen.
Rechtssichere E-Mail-Archivierung laut GoBD
E-Mails für den Geschäftsverkehr sind zu archivieren, wenn sie für ein Geschäft Relevanz haben. Betroffen sind:
- Angebote
- Aufträge
- per Mail geschlossene Verträge
- Kündigungen per Mail
- Rechnungen
- Reklamationen
Besonders auf Rechnungen legt das Finanzamt großen Wert. Aus ihnen lässt sich der tatsächliche Kapitalfluss ableiten. Auftragsbestätigungen, Lieferpapiere und Zahlungsbelege sind ebenfalls wichtig, allerdings prüft das Finanzamt in der Regel nur Kontoauszüge, Kassenbücher für Bargeldflüsse und die dazugehörenden Rechnungen. Die Archivierung der betreffenden Unterlagen muss laut GoBD im Originalformat erfolgen. Der Ausdruck einer E-Mail ist eine Kopie und wird nicht anerkannt. Die Aufbewahrungsfristen für E-Mails hängen vom Inhalt ab. Regelungen hierzu finden sich auch im HGB, aber auch in der AO. So schreibt unter anderem der § 257 HGB vor, dass Handelsbriefe sechs Jahre lang aufzubewahren sind. Steuerrelevante Mails müssen zehn Jahre lang aufbewahrt werden. Eine Archivierung gilt als revisionssicher, wenn die betreffende Mail mit allen Anhängen vollständig, manipulationssicher, jederzeit verfügbar und maschinell auswertbar ist.
Grenzen der Archivierung
Es gibt Grenzen der Archivierung, welche die DSGVO setzt (siehe nächster Abschnitt). Personenbezogene Daten sind nur so lange aufzubewahren, wie sie eine unmittelbare geschäftliche oder juristische Relevanz haben (etwa bei der Kündigung eines Kunden). Es gilt der Grundsatz der Datenminimierung.
Archivierung von verschlüsselten Mails
Viele Mails werden im Geschäftsverkehr verschlüsselt zugestellt. Sowohl die Archivierung erfolgt im Original, insofern ebenfalls auch verschlüsselt. Daher ist der Schlüssel ebenfalls zu archivieren. Hierzu ist es in der Regel erforderlich, ein Private-Key-Management zu integrieren. Der Hintergrund: Für das Entschlüsseln verfügt der Mitarbeiter, dem das E-Mail-Postfach zugeordnet ist, über einen privaten Schlüssel. Dieser Mitarbeiter kann aber das Unternehmen verlassen. Daher muss dieses auch die privaten Schlüssel separat archivieren. Das Bundesfinanzministerium hat sich umfangreich zur Anwendung der GoBD geäußert. Das betreffende Schreiben ist hier nachzulesen.
E-Mail-Archivierung laut DSGVO
Die DSGVO regelt in der Europäischen Union die Verarbeitung von personenbezogenen Daten. Sie trat 2018 in Kraft und vereinheitlicht das EU-Recht in diesem Bereich. Ihre Anforderungen können der Archivierungspflicht nach den GoBD zuwiderlaufen, denn sie schützt personenbezogene Daten und erzwingt ihre Löschung, wenn diese nicht unmittelbar benötigt werden. Das kann bedeuten: Eine revisionssichere E-Mail-Archivierung könnte nicht datenschutzkonform sein, wenn sie personenbezogene Daten enthält, die nach Abschluss des Geschäftsvorfalls nicht mehr relevant sind. Betroffen sind beispielsweise Daten der Personalabteilung.
Daten auch löschen
Hier sind die Daten von Bewerbern, welche nicht eingestellt wurden, nach Abschluss des Vorgangs zu löschen. In geschäftlicher Korrespondenz, die sich auf steuerrelevante Vorgänge bezieht, sind regelmäßig ebenfalls personenbezogene Daten enthalten, nämlich mindestens der Name, die dienstliche Anschrift und die Kommunikationsdaten des Geschäftspartners, häufig auch noch dessen Bankverbindung. Diese Daten fallen nicht unter den Schutz der DSGVO, weil das Finanzamt bis zehn Jahre nach dem Geschäftsvorfall auch beim Geschäftspartner den Vorfall prüfen könnte.
Wie sind die GoBD und die DSGVO grundsätzlich in Übereinstimmung zu bringen?
Grundsätzlich sollten Unternehmen in geschäftlicher, nach den GoBD archivierungspflichtiger Korrespondenz keine personenbezogenen Daten erwähnen, die mit dem geschäftlichen Vorgang an sich nichts zu tun haben. Das wären etwa Daten von Referenzkunden, die sich positiv zu den Leistungen des Unternehmens geäußert haben. Wenn beispielsweise die Vertriebsabteilung solche Daten für erforderlich hält, um einen Interessenten zu einem Vertragsabschluss zu motivieren, muss das in einem gesonderten Schreiben (einer E-Mail) erfolgen, in welchem zwar auf die Referenzkunden verwiesen wird, in dem aber ansonsten keine steuerrelevanten Daten wie eine eindeutige finanzielle Offerte auftauchen. Diese Mail ist nach Abschluss des Vorgangs laut DSGVO zu löschen.
Hallo Zusammen,
zu dem wichtigen Punkt der Archivierung kommt auch der sichere Übertragungsweg der Dokumente/ E-Rechnungen von A nach B. Ein neutraler Weg dazu kann z. B. das Peppolnetzwerk sein, welches vor ca. 10 Jahren als non profit Organisation in Brüssel gegründet wurde, mit dem Ziel, dass sich EU Behörden sicher mit einem Standard Dokumente zuschicken können.
Die Public Key Infrastructure (PKI) Technologie sorgt dafür, dass für die Dokumente digitale Zertifikate ausgestellt, verteilt und geprüft werden können.
Die Daten werden auf diesem Netzwerk nicht fest gespeichert und sind nur für den Übertragungsweg von einem Access Point Provider zum anderen (4 Corner Modell) notwendig. So können die Daten von oder durch einen Service Provider DSGVO konform archiviert werden.
Anbei zwei Links zu dem Thema Peppol, wie es funktioniert und wo es Sinn machen könnte für Unternehmen und Behörden.
https://www.storecove.com/blog/de/was-ist-peppol/
https://www.youtube.com/watch?v=USHumCrBwwk&authuser=0
Gruß
Christian Land